[Local File Inclusion] Shell Uploading

[DDos]

Yêu cầu:

• Vuln site
• Tamper data- https://addons.mozilla.org/sv-se/firefox/addon/tamper-data/
• HackBar- https://addons.mozilla.org/en-us/firefox/addon/hackbar/

Đầu tiên, kiểm tra nếu website có khả năng bị tổn thương
Ví dụ:
Trên URL của trình duyệt có dạng

http://www.site.com/index.php?filename=2

Chúng ta sẽ thay số '2' thành /etc/passwd

Và nó sẽ trở thành:

http://www.site.com/index.php?filename=etc/passwd

Nếu nó làm việc, nó sẽ pop-up một vài code và bạn sẽ nhìn thấy như hình dưới đây:

Tiếp theo, bạn thực hiện tương tự như bước trên nhưng thay etc/passwd thành

/proc/self/environ

Nếu nó làm việc và file tồn tại, bạn sẽ nhận được một vài thứ tương tự nhưng khác mã code ở hình trên.

Bây giờ, mở temper data, để làm điều này bấm F10

Khi temper data được mở, bạn sẽ thấy như hình dưới đây:

Click vào nút Start temper

Khi Tamper được hoàn thành, bạn sẽ nhìn thấy một cửa sổ giống như hình:

Thay đổi User-Agent thành:


Và nó sẽ giống như hình:

Bây giờ, chúng ta sẽ upload shell

Khởi chạy Tamper Data, và click Start tamper sau đó đi tới User Agent. Nhập mã dưới đây vào User agent field



Site bây giờ sẽ download shell của bạn. Bạn có thể xác định shell tại website/shell.php hoặc http://www.site.com/index.php?filename=shell.php

 

Re: [Local File Inclusion] Shell Uploading

Site này có phải bị dính lỗi XSS không vậy chủ thớt?

 

Re: [Local File Inclusion] Shell Uploading

Site này có phải bị dính lỗi XSS không vậy chủ thớt?

Site này không nhé! Vì đây là site trong lab thôi, và phần này chỉ là lỗi LFI.